Check Point Research, la divisione Threat Intelligence di Check Point Software Technologies, il principale fornitore di soluzioni di cybersecurity a livello globale, ha pubblicato il suo recente Global Threat Index per il mese di ottobre 2020. I ricercatori hanno riferito che i trojan Trickbot e Emotet continuano a essere i primi due malware più diffusi e che sono stati responsabili del forte aumento degli attacchi ransomware contro ospedali e fornitori di servizi sanitari, in tutto il mondo.
Recentemente, FBI e altre agenzie governative statunitensi hanno condiviso un alert riguardante gli attacchi ransomware che colpiscono il settore sanitario, avvertendo che le infezioni causate da Trickbot, oltre un milione in tutto il mondo, vengono utilizzate per scaricare e diffondere ransomware di codifica dei file come Ryuk. Ryuk è distribuito anche attraverso il trojan Emotet, che rimane al 1° posto nella top10 per il quarto mese consecutivo – in Italia addirittura con una percentuale del 17%, mentre in tutto il mondo con il 13%.
I dati del threat intelligence di Check Point hanno mostrato che il settore sanitario è stato il più colpito dai ransomware negli Stati Uniti nel mese di ottobre, con attacchi in aumento del 71% rispetto a settembre 2020. Analogamente, sempre in ottobre, questi attacchi nello stesso settore sono aumentati del 36% in EMEA e del 33% in APAC.
“Abbiamo visto aumentare gli attacchi ransomware sin dall’inizio della pandemia, per cercare di sfruttare le falle di sicurezza mentre le organizzazioni si affannavano a implementare lo smartworking. Questi sono aumentati in modo allarmante negli ultimi tre mesi, soprattutto contro il settore sanitario, e sono guidati dai ben conosciuti TrickBot ed Emotet. Consigliamo vivamente le organizzazioni healthcare di tutto il mondo ad essere estremamente vigili su questo rischio, e prevenire le infezioni con una scansione di queste esse prima che possano causare danni reali, essendo la porta d’accesso a un attacco ransomware”, ha spiegato Maya Horowitz, Direttore, Threat Intelligence & Research, Products di Check Point.
I tre malware più diffusi di ottobre sono stati:
*La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente
Questo mese, Emotet rimane il malware più popolare con un impatto globale del 12% delle organizzazioni, seguito da Trickbot e Hiddad che hanno entrambi avuto un impatto del 4%.
1. ↔ Emotet – trojan avanzato, autopropagante e modulare, utilizzato come distributore per altre minacce. Utilizza molteplici metodi per mantenere la stabilità e le tecniche di evasione per evitare il rilevamento. Si diffonde anche attraverso campagne phishing con mail contenenti allegati o link dannosi.
2. ↔ Trickbot – banking trojan che viene rinnovato costantemente con nuove funzioni. Questi fattori rendono Trickbot un malware flessibile e personalizzabile che può essere diffuso tramite diversi tipi di campagne.
3. ↑ Hiddad – malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti. La sua funzione principale è visualizzare annunci, ma è anche in grado di accedere ai dati chiave di sicurezza, integrati nel sistema operativo, consentendo all’aggressore di ottenere dati sensibili dell’utente.
Vulnerabilità più sfruttate del mese di ottobre:
*La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente
A ottobre “MVPower DVR Remote Code Execution” è la vulnerabilità più sfruttata, con un impatto sul 43% delle organizzazioni a livello globale, seguita da “Dasan GPON Router Authentication Bypass” e “HTTP Headers Remote Code Execution (CVE-2020-13756)” con un impatto del 42%.
1. ↔ MVPower DVR Remote Code Execution – vulnerabilità di esecuzione del codice da remoto nei dispositivi MVPower DVR. Un malintenzionato può sfruttare questa falla da remoto per eseguire codice arbitrario nel router interessato tramite una richiesta creata appositamente.
2. ↔ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – vulnerabilità di bypass dell’autenticazione che esiste nei router Dasan GPON. Uno sfruttamento efficace permetterebbe agli aggressori remoti di ottenere informazioni sensibili e di accedere senza autorizzazione al sistema interessato.
3. ↑ HTTP Headers Remote Code Execution (CVE-2020-13756 – consente al client e al server di passare informazioni aggiuntive con una richiesta HTTP. Un aggressore remoto può utilizzare un header HTTP vulnerabile per eseguire codice arbitrario sulla macchina della vittima.
I tre malware mobile più diffusi di ottobre:
Questo mese Hiddad è il malware mobile più diffuso, seguito da xHelper e Lotoor.
1. Hiddad – malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti. La sua funzione principale è visualizzare annunci, ma è anche in grado di accedere ai dati chiave di sicurezza, integrati nel sistema operativo, consentendo all’aggressore di ottenere dati sensibili dell’utente.
2. xHelper – un’applicazione Android dannosa, individuata a marzo 2019, utilizzata per scaricare altre app dannose e visualizzare pubblicità. È in grado di nascondersi dall’utente e dai programmi antivirus mobile, e si reinstalla se l’utente la disinstalla.
3. Lotoor – tecnica di hackeraggio in grado di sfruttare le vulnerabilità dei sistemi Android con lo scopo di ottenere i permessi di root sui dispositivi mobile infettati.
La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloud dell’azienda, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud ispeziona oltre 2,5 miliardi di siti web e 500 milioni di file, e ogni giorno identifica più di 250 milioni di attività malware.